und mbam:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3679
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

04.02.2010 20:45:11
mbam-log-2010-02-04 (20-45-11).txt

Scan-Methode: Vollst‰ndiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 423582
Laufzeit: 1 hour(s), 19 minute(s), 20 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschl¸ssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bˆsartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bˆsartigen Objekte gefunden)

Infizierte Registrierungsschl¸ssel:
(Keine bˆsartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bˆsartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bˆsartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bˆsartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{64DB525A-E557-40A9-AFEE-A950585B9802}\RP511\A0098105.exe (Trojan.Banker) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{64DB525A-E557-40A9-AFEE-A950585B9802}\RP511\A0098115.exe (Trojan.Banker) -> Quarantined and deleted successfully.
         

PS: bei meinem Internet tut sich immernoch nix... habe jetzt schon so einiges probiert! kann es sich wirklich nicht um einen Virus/trojaner handeln? habe hier auch jemanden gefunden, dem es scheinbar ähnlich geht -> http://www.trojaner-board.de/81877-t...end-hilfe.html

PPS: Prex findet mit der suchroutine, die jetzt ca 4 tage alt ist, nix!

Hi,

für ein Trojaner wäre das Verhalten das internet abzuklemmen sehr seltsam, da er darüber ja kommuniziert. Prüfe ob ein im Proxy im IE eingestellt ist und falls ja, ob es das richtige ist
http://www-stl.htw-saarland.de/stl/msie-proxy-einstellungen.html

chris

bin gerade nicht zu hause, aber ich geh eigendlich mit firefox ins internet! könnten trotzdem die ie proxy einstellungen schuld sein?

Hi,

kontrolliere bei beiden die Proxyeinstellungen...
und schau mal, ob du in der Systemsteuerung im Menü "Internetoptionen" -> Verbindungen -> Lan Einstellungen/Erweitert einen Proxyserver angegeben hast.
Wenn ja: entfernen (wenn Du Dir nicht sicher bist ob das der richtige Proxyserver ist)

Sonst probieren ob Du über Einstellungen->Netzwerkverbindungen Rechtsklick auf die Verbindung die nicht tut->Reparieren...kannst..



chris

Servus,

also Proxy hab ich nur den, den Du mir oben empfohlen hast. allerdings hat er keinen erfolg gebracht, daher werde ich ihn wohl wieder entfernen. vorher war kein proxy da.

Repariert hab ich die verbindung schon viele Male - ohen Erfolg.

Vielleicht noch weitere Idden? ich bin über jede sehr dankbar, da ich nicht weiter weiß! Kann irgendein Teil unserer Säuberungsaktion es irgendwie verursacht haben? also reg änderungen oder so?

Danke, J.

habe noch eine zusatzinfo: in der start leiste (in der leiste, die sich öffnet, denn man auf start klickt) war ein ie symbol (standardprogramm fürs Internet). dies hat der trojaner verursacht, im gleichen atemzug mit der installation der av.exe - das hab ich damals schon gesehen, vor her war da firefox.

als ich jetzt nach dem säubern ins netz gehen wollte, hab ich mal draufgeklickt, um den ie aufzurufen. allerdings sagte er, er könne die exe datei nicht finden. habe mal die rechte maustaste draufgemacht, es war tatsächlich der ie explorer. habe nun die einstellungen hin zu firefox verändert, und nach wie vor fragt er mich, mit welchem Programm ich firefox öffnen will... ist da noch was in der registry?

wenn ich firefox oder ie aus den programmen öffen, macht er dies tadellos.

gruß J.

Hi,

av.exe verbiegt wohl weit mehr RegKeys... was mich wundert, wieso mam sie nicht findet und gerade biegt... Spiele noch mal eine neue Version von MAM ein...

Den Text als regfix.reg speichern (Start->Ausführen notepad), nicht als Text. Dann Doppelklick und mit der Registry zusammenführen:

Code: Alles auswählenAufklappen

ATTFilter

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command]

[-HKEY_CURRENT_USER\Software\Classes\secfile\shell\open\command]

[-HKEY_CLASSES_ROOT\.exe\shell\open\command]

[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"

[-HKEY_CLASSES_ROOT\secfile]
         

Kennst Du Dich mit Regedit aus? Diese Keys müssen gerade gebogen werden (bastle nacher ein script, will es aber erst in der VM ausprobieren):

Code: Alles auswählenAufklappen

ATTFilter

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command "(Default)" = "%UserProfile%\Local Settings\Application Data\av.exe" /START "C:\Programme\Mozilla Firefox\firefox.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command "(Default)" = "%UserProfile%\Local Settings\Application Data\av.exe" /START "C:\Programme\Mozilla Firefox\firefox.exe" -safe-mode
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command "(Default)" = "%UserProfile%\Local Settings\Application Data\av.exe" /START "C:\Programme\Internet Explorer\iexplore.exe"
         

Die fett dargestellten Teile müssen aus dem Regkey gelöscht werden, da versucht sich das Teil selbst zu starten (wenn versucht wird FF oder IE aufzurufen)...

Danach bitte noch mal ein OTL-Log erstellen...
Das mit dem Internet ist mir in Verbindung mit AV noch nicht untergekommen... Ev. die Browsererweiterung (hast Du das was gelöscht?).
Hängt der Rechner an einem Router, ggf. den mal rebooten...

chris

sers Chris,

leider kenn ich mich nicht so gut mit der reg aus, werde aber deine anweisungen für den 1. teil regfix befolgen.

reicht es, die version von mbam aus dem link zu kopieren (http://www.malwarebytes.org/mbam.php) oder muss ich die dann noch updatenm und wenn ja wie ....hab doch kein netz...

gruß J.

Hi,

dauert ein bisschen muß erst die VM anschmeissen...

Zieh es Dir einfach neu und installiern, das update der Signaturdatei findest Du unter:
http://www.malwarebytes.org/mbam/database/rules.ref
download und hier hin kopieren: c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware.

Dann fullscan und alles bereinigen lassen, log posten!
Okay, here we go:

Wie eben, text in notepad kopieren, unter regfix2.reg speichern, doppelklick und zusammenführe. danach sollten sich ie und ff wieder über startmenü ausführen lassen...
Dann konzentrieren wir uns nochmal auf das internet. wenn du die verbindung reparieren lässt, gibt es eine fehlermeldung, wenn ja welche?

Code: Alles auswählenAufklappen

ATTFilter

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command]
@="C:\\Programme\\Mozilla Firefox\\firefox.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command]
@="C:\\Programme\\Mozilla Firefox\\firefox.exe" -safe-mode

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command]
@="C:\\Programme\\Internet Explorer\\iexplore.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride" = dword:0x00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
 "FirewallOverride" = dword:0x00
         

chris

mbam läuft, regfix.reg ist schon drauf... was hat dies denn bewirkt?
da der mbam scan noch ca 2 std läuft, werde ich dir das ergebnis erst morgen posten... dann noch n schönen abend.

ps: der bericht nach dem Reparieren ist: "..folgende Aktion werden konnte: Erneuern der IP-Adresse"

Hi,

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command]
@="C:\\Programme\\Mozilla Firefox\\firefox.exe"

Stellt den Startmenüeintrag wieder auf den Firefox um. Vorher wurde zuerst die av.exe gestartet und die hat dann den Firefox gestartet...

Dann hat sie sich weiter so in der Reg verewigt, dass bei dem Versuch eine exe zu starten erst wieder die Malware gestartet wird. Der erste Parameter ist dann das zu startende Programm, das dann anhand des Namen überpüft werden kann (ob die Malware dem Start zustimmt-> damit wird z.B. der Start von MAM verhindert)...

Hängt der Rechner an einem Router oder direkt am DSL?
Hast Du die Proxyeinstellung überprüft?

So, mach auch Schluß für heute...

chris

Vorweg: Vielen Dank für Deine Mühen, Chris!!

Habe mich jetzt aber doch für einen anderen Weg entschieden, da ich bei besten Willen mein Internet nicht hinbekommme! Werde auf einer 2. Festplatte erneut windows installieren, da ich ja dann die andere drin lassen kann, und auf die Daten zurücckgreifen kann... ist wohl der sauberere weg! ich hoffe, dass bei der Installation nix schief geht und ich einigermaßen schnell meine konfiguration hinbekomme!

Jetzt hab ich aber noch ein paar Fragen zum neuen System. Kann ich nach der Installtion der 2. Platte die andere, urpsüngliche Platte einfach anschließen, oder muss ich Angst haben, dass ich mir den Trojaner erneut ziehe? -das letzte Mbam log war ohne Befund!

Wenn ich meine Dateien rüberziehe, darf ich dann alles verwenden, oder muss ich de auf ein paar dateitypen verzichten?

Ich habe ja bislang an der "infizierten" Platte nix verändert, wenn also der Prozess Deiner Meinung nach noch nicht aabgeschlossen ist, kann ich jederzeit das Cleaning fortsetzen!

Soweit erstmal vielen Dank für Deine tatkräftige Unterstützung!

Gruß J.

Juhuuuu, habe es noch 1 mal probiert, und nach dem 101. Neustart des Rechners funktioniert plötzlich - ohne eine erkennbare Veränderung... manchmal glaubt man doch an den kleinen Mann im Computer!!

Also, Chris, was meinst du, soll ich noch weitere Tests durchführen, bevor der PC wierder einigermassen sicher ist? und hast du tips für mich, wie ich driveby viren vermeiden kann?

Gruß J.

Hi,

wenn keine Programme von der ev. noch verseuchten Platte gestartet werden, dann gibt es noch einen Punkt, mit dem man sich was einfangen kann:
autostart/-run.
Daher komplett abschalten! (gibt zwar noch was, aber das wird fast nicht ausgenutzt).
Dann die Platte kompellt scannen lassen (ich denke aber die Platte sollte sauber sein). Nunja, vielleicht hatte ja auch Dein Provider ein kleines temporäres Problem gehabt...
Ich habe ein bisschen rumgespielt, Threadfire hat ziemlich sofort den Angriff der av.exe unterbunden (es fragt nach und weisst auf die hochgefährliche Aktion hin, kann aber überstimmt werden (und das ist dann fatal)).
Gibt auch, ähnlich wie avira, eine freie edition:
http://www.threatfire.com/de/

chris
Autorun ausschalten:
Temporär:
Um beim Anschluss eine Neuinfektion zu verhindern, die Shift-Taste gedrückt halten, das verhindert den Autorun (autorun.inf).

*Wichtig: Immer vorher eine Sicherheitskopie der Systemdateien
anlegen, bevor man die Registry "betritt" oder gar verändert !!*

Es gibt beim Schlüssel
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\
Policies\Explorer zum einen den Namen: "NoDriveTypeAutoRun"
(Standard ist: "95 00 00 00"), welcher den AutoPlay-Mechanismus der
Laufwerke regelt.

"95 00 00 00" - Autoplay für Festplatten und CD-Rom
"00 00 00 00" - AutoPlay-Mechanismus für alle Laufwerke
"FF 00 00 00" - kein Autoplay für alle Laufwerke
"b1 00 00 00" - Autoplay für Festplatte und Diskette, nicht für
CD-Rom
"b5 00 00 00" - AutoPlay für Musik-CD's, nicht jedoch AutoPlay
von Daten-CD's.
"b9 00 00 00" - Autoplay nur für Diskette
(Allerdings "rattert" dann die Kiste auch öfter ;-)

Änderungen wirken sich hierbei erst nach einem Windows-Neustart
aus.

Autoplay/Autostart ausschalten:
So deaktivieren Sie die Autoplay-Funktion von allen Laufwerken über die Gruppenrichtlinien:
Start -> Ausführen -> gpedit.msc
Computer Konfiguration -> Administrative Vorlagen -> System-> Autoplay deaktivieren
"Autoplay deaktivieren für" -> Alle Laufwerke...